Académique Documents
Professionnel Documents
Culture Documents
Résumé :
L’objectif de cette communication article est d’explorer les SI fantômes, leur persistance et
déclin dans les organisations. A l’aide d’une étude de cas unique dans un établissement de
santé, nous avons décrit les SI fantômes déployés par les praticiens pour gérer les images
photographies, ainsi que les cycles de renforcement et désactivation de ces derniers à l’aide
du modèle des forces de Furstenau et al. (Furstenau et al., 2017).
Mots clés :
Si fantôme, SI santé
1
"Couvrez ce sein, que je ne saurais voir. Par de pareils objets les âmes sont blessées,; Et cela fait venir de
coupables pensées.", in Molière Le Tartuffe, III, 2 (v. 860-862).
1
1 Introduction
Les termes « shadow IT » et « feral system », que l’on peut traduire en français par systèmes
d’informations fantômes et systèmes sauvages retiennent de plus en plus l’attention des
praticiens (Gartner, 2014; Walters, 2013) et des académiques (Furstenau, Rothe, & Sandner,
2017) notamment depuis le développement du cloud computing, des technologies Saas ou
encore de la vague de BYOD (Bring Your Own Device)(Beimborn & Palitza, 2013), qui sont
devenus des incontournables dans le paysage des systèmes d’information décentralisés des
organisations et des innovations tirées par les utilisateurs. Ainsi les ressources en technologies
de l'information (TI) adoptées et utilisées sans l'approbation du service informatique central
sont de plus en plus répandues dans les organisations comme les enquêtes récentes le
montrent (Walters, 2013). En particulier, les appareils grand public, comme les smartphones
ou les services de cloud via les navigateurs Web, constituent en soi des systèmes fantômes
facilement accessibles pour des employés, même avec de faibles compétences informatiques,
et des défis pour la gouvernance des systèmes (SI) (Györy, Cleven, Uebernickel, & Brenner,
2012; Haag & Eckhardt, 2015; Zimmermann & Rentrop, 2014). Une grande partie de la
littérature considère que ces technologies de l’information fantômes et les contournements
des usages, voire des technologies et systèmes existants dans les organisation, sont
plutôt néfastes. L'argument général majeur est que les usages détournés des systèmes actuels
ou les technologies et applications sauvages utilisés sans contrôle des services informatiques
centraux comportent des risques majeurs pour les organisations et qu’il serait plutôt
souhaitable de les identifier et de les supprimer (Walters, 2013). La plupart des organisations
tentent de diriger, restreindre et contrôler les systèmes fantômes utilisés par les unités ou
services en dehors des systèmes formels et officiels, afin d’en minimiser les coûts et les
risques. Cependant, nombre d’organisations échouent à éliminer ou réduire ces derniers
malgré les efforts déployés (Walters, 2013). Furstenau et al. (Furstenau et al., 2017) notent
que souvent les systèmes fantômes persistent ou reviennent même si les DSI font des efforts
pour les éliminer. Pourtant les contournements d’usages ont été décrits comme jouant un rôle
prépondérant dans l’amélioration des processus métiers (Alter, 2014) et les SI fantômes
comme une source d’innovation fertile en termes d’identification des besoins des utilisateurs
notamment. Ceci conduit certaines organisations a explicitement autorisés ces derniers en
croyant notamment à leur potentiel d’innovation. Furstenau et al. (Furstenau et al., 2017)
montrent qu’il existe une dynamique à long terme expliquant la persistance et l’évolution des
systèmes fantômes parallèles dans les organisations contemporaines avec des centaines et des
milliers de dispositifs et de systèmes décentralisés. Nous souhaitons interroger les systèmes
fantômes comme moteur de l’évolution du portefeuille de systèmes dans les organisations. La
question de recherche est ainsi la suivante : Comment les systèmes fantômes conduisent à une
reconfiguration des systèmes d’informations existants ? Afin d’explorer cette question, nous
avons conduit une étude de cas unique auprès d’une établissement de santé français 2, et
identifiés des systèmes d’informations fantômes utilisés par son personnel afin de traiter les
photographies médicales et leurs liens avec le SI officiel. A l’aide d’observations et
d’interviews, nous avons réalisé un état des lieux des pratiques et systèmes « fantômes »
déployés dans les services étudiés et montrons les processus dynamiques à l’œuvre dans
l’établissement étudié, de l’identification d’un « problème de gouvernance » à la mise en
2
Le premier projet de recherche avec l’établissement a démarré en 2014 et les observations et interviews ont été
réalisées plus spécifiquement sur les processus de gestion des images photographiques depuis 2016
2
œuvre d’un nouveau projet SI, à l’aide du modèle des forces de Furstenau et al. (Furstenau et
al., 2017). La communication sera articulée de la manière suivante : tout d’abord, la
description Pour arriver à ces contributions, cet article est organisé comme suit : la section 1
présente le cadre conceptuel relatif aux systèmes d’informations fantômes étudiés. Dans la
section suivante, nous nous référons aux méthodes de cette étude, puis présentons les
résultats préliminaires. La dernière section résume les résultats et discute des implications et
des futures opportunités de recherche.
1.1.1 De la définition ….
Il existe un nombre de termes associés à la notion d’informatique fantôme très nombreux
(Kopper & Westner, 2016a). Tous les logiciels, matériels et services informatiques déployés
de manière autonome au sein d’une organisation ou d’un département ou service sans la
participation du service informatique de l'organisation peuvent être considérés comme des SI
fantômes (Haag & Eckhardt, 2017). D’ailleurs, la plupart du temps, les services
informatiques ne connaissent pas l’existence de ces systèmes (Rentrop & Zimmermann,
2012). Le concept de SI fantôme décrit un sous-ensemble principalement axé sur de petites
applications non officielles complétant les grands systèmes d'entreprise (par exemple un
ERP) (Behrens, 2009; Blichfeldt & Eskerod, 2008; Huber, Zimmermann, Rentrop, & Felden,
2016). Les artefacts (Haag & Eckhardt, 2015, 2017) peuvent inclure des matériels, des
applications ou des services (Gaß, Ortbach, Kretzer, Maedche, & Niehaves, 2015; Rentrop &
Zimmermann, 2012; Walters, 2013). Ce phénomène prend de l’importance ces dernières
années à mesure que les employés utilisent leurs appareils mobiles privés pour le travail,
parfois sans l'accord de leur organisation (Gaß et al., 2015) et utilisent leurs applications auto-
développées ou privées dans leur environnement de travail (Gozman & Willcocks, 2015). La
recherche existante sur ces systèmes est dispersée (Haag & Eckhardt, 2015).
3
1.1.3 … et de l’ivraie
Cependant, en raison de la nature typiquement décentralisée des systèmes fantômes, ils
peuvent créer des charges de travail redondantes, et poser des problèmes d’intégrité des
données et de qualité (Behrens, 2009). De nombreux travaux soulignent les risques de
sécurité (Silic & Back, 2014), de conformité ou d'efficacité de ces systèmes (Behrens, 2009;
Fürstenau & Rothe, 2014; Zimmermann, Rentrop, Felden, & Freiberg, s. d.). Compte tenu
des avantages et des inconvénients de ces systèmes, chercheurs et praticiens discutent des
approches à adopter allant de l'autorisation totale, à la simple concessions spécifiques, voire
à l'interdiction (Györy et al., 2012; Haag & Eckhardt, 2017) et des implications managériales
pour la gouvernance des SI (Beimborn & Palitza, 2013; Furstenau et al., 2017; Györy et al.,
2012).
4
Figure 1 : Double cycle antagoniste de renforcement et désactivation des SI fantômes
(Furstenau et al., 2017)
Pour ces auteurs, les deux cycles coexistent, dans des forces antagonistes, et parfois une
tendance peut surpasser l'autre. D’un côté, une tendance au développement de SI fantômes -
exprimant un besoin de solutions non standardisées et, une tendance à leur affaiblissement
-déclenchée par la perception des risques qui résulte de l'accent mis sur la non-conformité et
la gouvernance des SI au niveau central. Selon nous, l’analyse de Furstenau et al. (Furstenau
et al., 2017) peut être mobilisée de façon pertinente pour examiner les systèmes
d’information fantômes mis en place et leur évolution dans l’établissement de santé étudié.
5
services. L’étude a été diligenté avec l’aval de la direction de l’hôpital et de la commission
dédié au numérique. Le protocole de la recherche a été présenté à la direction, au directoire et
validé en 2014 et la phase ici décrite de l’étude a été réalisée en 2016 et 2017. Notre objectif
initial était de faire un état des lieux des pratiques en matière d’image photographique (hors
imagerie radiologique) et de diffusion de celles-ci afin d’identifier ainsi les SI « fantôme »
utilisés au niveau décentralisé.
6
Services Interviewé Fréquence moyenne déclarée
Plaie IDE 300 à 500 photos/ semaine
cicatrisation
Génétique Médecin 180 photos/ semaine
clinique
Unité médico Médecin, IDE, Jusqu’à 20 photos/ victime
judiciaire gendarme
CMF Médecin Environ 20 photos/ semaine
Aphérèse Médecin Ne sais pas
thérapeutique
Urgences IDE Nombreuses
Urgences Médecin Environ 20 photos/ semaine
pédiatriques
Dermatologie Médecin 200 à 300 photos/ semaine
Médecine IDE et médecin 40 photos/ semaine
interne
vasculaire
Tableau 2 : Fréquence d’usage des images photographiques en fonction des services
étudiés
3 Résultats et discussion
Les résultats de notre étude empirique permettent de donner des éclairages sur la présence de
SI fantômes et les dynamiques internes d’évolution à l’œuvre les concernant au sein du
CHUX. Nous proposons une typologie de profils d’utilisateurs. Cette première analyse a
révélé l’existence de jeux d’acteurs entre les membres de la communauté que nous proposons
d’explorer à l’aune de l’analyse stratégique (Crozier et Friedberg, 1977).
Nous présentons tout d’abord les pratiques fantômes identifiées et le problème de
gouvernance initial auquel elles répondent, puis les cycles de renforcement et de
désactivation observés.
7
3.1.1 Les pratiques actuelles
L’étude de cas menée montre un usage parallèle des SI officiels disponibles pour certaines
tâches du processus de captation, stockage et diffusion des images photographiques dans la
pratique clinique et des SI fantômes ou sauvages utilisés par les praticiens. Nous résumons
dans le tableau ci-après les caractéristiques des pratiques de manière très synthétique.
SI fantômes SI officiels
Technologie utilisée - 1 ou plusieurs appareils photo -Applications sécurisées
pour la captation personnels dédiés pour un service (covalia, domoplaies, infinis)
d’image - smartphone personnel
photographique
Technologie utilisée - espace de stockage local - espace de support local
pour le stockage personnel (PC/mac, disque dur) (PC, serveurs gérés par
volontaire d’image - espace de stockage local (PC, institution CHU
photographique serveurs gérés par autre institution -DIPX
que CHU : université, association) - sharepoint
- cloud personnel (picasa et google -serveur T, serveur W
photo)
Technologie utilisée - cloud personnel (icloud, drive,
pour le stockage iphoto, outlook) après
involontaire d’image synchronization automatique
photographique -stockage sur le smartphone
personnel
Technologie utilisée - sur smartphone, PC , tablette -écran et projecteur
pour la diffusion en personnels - PC
présentiel d’image - répertoire partagé d’un
photographique service
- dossier patient sur DIPX
Technologie utilisée - Messagerie personnelle - messagerie professionnelle
pour la diffusion à -SMS
distance d’image - what’sapp
photographique - picasa
Tableau 3 : les pratiques identifiées
3.1.3 Comme nous l’avons montré dans la section précédente, nous avons identifié un
usage massif de TI non officiels pour la gestion des images photographiques dans la
pratique clinique au CHUX, dans les 10 services étudiés. En effet, suite à la
démocratisation des smartphones, les médecins et prestataires médicaux utilisent de
plus en plus leur smartphone personnel et/ou professionnel en tant qu’outil de travail
et d’aide au diagnostic sans passer systématiquement par le système officiel DIPX du
CHUX, qui contient depuis 2014 un module dédié à la gestion des images
photographiques dans le dossier patient informatisé (permettant d’assurer la phase de
stockage et diffusion des images produites en les rattachant à un dossier patient).
L’analyse des données collectées durant les observations et les interviews nous a
permis de comprendre les raisons du problème de gouvernance propre à la
problématique de l’usage des images photographiques dans la pratique clinique au
8
CHUX, résumé ci après : méconnaissance des besoins métiers, inadéquation des
solutions proposées, spécificités des contextes non prise en compte, réponse trop lente
aux demandes, effet de distance de la DSI du CHUX, temps de traitement sur DIPX
des images longs, etc… Il peut alors en résulter une vision défaitiste de la
communauté accompagnée par un désengagement voire un retrait de la communauté
9
Les risques de la phase de - Identito-vigilance
diffusion des images - erreur de donnée
photographiques -sécurité/ problème réseau
Tableau 4 : Identification des risques relatifs au SI fantômes au CHUX
L’étude de cas menée montre que face à cette tendance de renforcement des SI fantômes
utilisés dans les services pour gérer les images photographiques, une tendance antagoniste
alimentée par la présence de risques perçus sur l ‘ensemble du processus, a conduit à
l’émergence d’un cycle de désactivation des SI fantômes au sein du CHUX, à l’instar de
Furstenau et al. (Furstenau et al., 2017). Ainsi, face à la perception croissante des risques sur
le processus de gestion des images photographiques, notamment au niveau du management
intermédiaire (via le responsable de la DIH), puis du management central, nous avons
observé un cycle inverse de désactivation des SI fantômes en place, et de recentralisation du
processus, comme indiqué dans la figure qui suit. D’abord, la DSI a mis en place en 2015 de
nouvelles procédures normalisées concernant l’identito-vigilance au CHUX, concernant
notamment les processus de gestion des images photographiques dans DIPX. Plusieurs
mesures ont ensuite été prises à partir de la prise de conscience des risques sur les processus
de gestion des images au CHUX via les SI fantômes, notamment l’amorce d’une réflexion
dès 2015 sur le déploiement d’un projet d’implémentation d’une nouvelle application dédiée
à la captation, au stockage et à la diffusion des images photographiques dans le respect des
principes de l’identito-vigilance, qui a conduit à la mise en place d’une expérimentation, en
février 2016, d’une nouvelle application mobile, développée par le prestataire en charge de
DPIX. Une nouvelle application a ainsi été développée par la DSI, avec pour maîtrise
d’ouvrage l’éditeur du DPIX pour sécuriser le circuit photo, à travers l’intégration
automatisée de chaque photo dans DPIX. Le CHU a financé l’achat de 15 smartphones,
confiés à des praticiens volontaires, afin d’assurer une meilleure confidentialité dans le cadre
du respect de l’identito-vigilence des processus de gestion des images photographiques 6.
Nous résumons les résultats relatifs aux deux forces antagonistes mis à jour concernant la
dynamique des SI fantômes utilisés pour la gestion des images photographiques de l’étude de
cas menée au CHUX, dans la figure suivante :
problème de
risques perçus de la
gouvernance en
gestion des photos
central
6
L’application mobile permet l’insertion dans le dossier patient informatisé de photographies et
d’enregistrement audio réalisés grâce à un téléphone mobile personnel ou professionnel qui permet
l’identification de l’utilisateur et permet une synchronisation avec le système d’information du CHUX, DIPX.
10
-rcn
e é
vff
lisd
SIfô
ta
o
ti m
b
yè
sgéfo
ti
u
rim
d elyèp
tan ô
h
c
5 Références
Alter, S. (2014). Theory of Workarounds. Business Analytics and Information Systems.
Azad, B., & King, N. (2012). Institutionalized computer workaround practices in a
Mediterranean country: an examination of two organizations. European Journal of
Information Systems, 21(4), 358-372.
Behrens, S. (2009). Shadow Systems: The Good, the Bad and the Ugly. Commun. ACM,
52(2), 124–129.
Beimborn, D., & Palitza, M. (2013). Enterprise App Stores for Mobile Applications -
Development of a Benefits Framework. AMCIS 2013 Proceedings.
Benbasat, I., Goldstein, D. K., & Mead, M. (1987). The Case Research Strategy in Studies of
Information Systems. MIS Quarterly, 11(3), 368.
11
Blichfeldt, B. S., & Eskerod, P. (2008). Project portfolio management – There’s more to it
than what management enacts. International Journal of Project Management, 26(4), 357-365.
Eisenhardt, K. M. (1989). Building theories from case study research. Academy of
Management Review, Vol. 14(No. 4), pp. 532-550.
Fürstenau, D., & Rothe, H. (2014). SHADOW IT SYSTEMS: DISCERNING THE GOOD
AND THE EVIL. ECIS 2014 Proceedings.
Furstenau, D., Rothe, H., & Sandner, M. (2017). Shadow Systems, Risk, and Shifting Power
Relations in Organizations. Communications of the Association for Information Systems,
41(1).
Gartner. (2014). Embracing and Creating Value From Shadow IT.
Gaß, O., Ortbach, K., Kretzer, M., Maedche, A., & Niehaves, B. (2015). Conceptualizing
Individualization in Information Systems – A Literature Review. Communications of the
Association for Information Systems, 37(1).
Gozman, D., & Willcocks, L. (2015). Crocodiles in the Regulatory Swamp: Navigating The
Dangers of Outsourcing, SaaS and Shadow IT. ICIS 2015 Proceedings.
Györy, A. A. B., Cleven, A., Uebernickel, F., & Brenner, W. (2012). Exploring The
Shadows: IT Governance Approaches To User-Driven Innovation. In Proceedings of the 20th
European Conference on Information Systems (ECIS 2012). AIS Electronic Library (AISeL):
Association for Information Systems.
Haag, S., & Eckhardt, A. (2015). Justifying Shadow IT Usage. PACIS 2015 Proceedings.
Haag, S., & Eckhardt, A. (2017). Shadow IT. Business & Information Systems Engineering,
1-5.
Huber, M., Zimmermann, S., Rentrop, C., & Felden, C. (2016). The Relation of Shadow
Systems and ERP Systems—Insights from a Multiple-Case Study. Systems, 4(1), 11.
Kerr, D. V., Houghton, L., & Burgess, K. (2007). Power Relationships that Lead to the
Development of Feral Systems. Australasian Journal of Information Systems, 14(2).
Kopper, A., & Westner, M. (2016a). Towards a Taxonomy for Shadow IT.
Kopper, A., & Westner, M. (2016b). Towards a Taxonomy for Shadow IT. AMCIS 2016
Proceedings.
Lee, A. (2001). Validation in information systems research: a state-of-the-art assessment. Mis
Quarterly, 25(1), xi.
Miles, M. B., & Huberman, A. M. (1994). Qualitative Data Analysis, (2nd Edition).
Thousand Oaks, California, SAGE Publications, Inc.
Paré, G. (2002). Implementing clinical information systems: a multiple-case study within a
US hospital. Health Services Management Research, 15(2), 71-92.
Rentrop, C., & Zimmermann, S. (2012). Shadow IT: Management and Control of unofficial
IT.
Silic, M., & Back, A. (2014). Shadow IT – A view from behind the curtain. Computers &
Security, 45(Supplement C), 274-283.
Siponen, M., & Vance, A. (2010). Neutralization: New Insights into the Problem of
Employee Information Systems Security Policy Violations. MIS Quarterly, 34(3), 487-502.
Thatte, S., Grainger, N., & McKay, J. (2012). Feral practices. ACIS 2012 : Location,
Location, Location : Proceedings of the 23rd Australasian Conference on Information
Systems 2012, 1-10.
Walters, R. (2013). Bringing IT out of the shadows. Network Security, 2013(4), 5-11.
Yin, R. (1993). Applications of case study research. Newbury Park, CA: Sage Publishing.
12
Zimmermann, S., & Rentrop, C. (2014). On the emergence of shadow it - a transaction cost-
based approach. Ecis 2014.
Zimmermann, S., Rentrop, C., Felden, C., & Freiberg, T. B. (s. d.). Managing Shadow IT
Instances – A Method to Control Autonomous IT Solutions in the Business Departments.
13